Tailscale Exit Node: Biến VPS thành VPN Server cá nhân

Tailscale không chỉ giúp bạn tạo một hệ thống mạng nội bộ ảo để kết nối các thiết bị với nhau, mà còn có chức năng Exit Node giúp bạn định tuyến truy cập thông qua một VPS được kết nối vào hệ thống tailnet của bạn, tính năng này tương tự như VPN giúp các kết nối đi ra thông qua một máy chủ được chỉ định, và kết nối đó sử dụng địa chỉ IP của máy chủ đó.

Trong bài này, AZDIGI sẽ hướng dẫn chi tiết từ A tới Z cách sử dụng tính năng Exit Node của Tailscale để biến VPS thành một VPN server hoàn chỉnh, chuyên nghiệp nhưng rất dễ dàng cài đặt và sử dụng.

Exit Node là gì?

Exit Node là tính năng của Tailscale cho phép bạn định tuyến toàn bộ traffic Internet của thiết bị thông qua một thiết bị khác trong tailnet.

Khi sử dụng Exit Node:

• Traffic Internet của bạn được mã hóa và gửi đến Exit Node
• Exit Node giải mã và chuyển tiếp traffic ra Internet
• Response quay ngược lại qua Exit Node về thiết bị của bạn
• Các website/service thấy IP của Exit Node, không phải IP thực của bạn

Exit Node vs Subnet Router

Exit Node	Subnet Router
Route toàn bộ traffic Internet	Route traffic đến subnet cụ thể
Dùng để bảo vệ traffic, đổi IP	Dùng để truy cập thiết bị trong LAN
Thiết bị “ẩn” đằng sau Exit Node	Chỉ mở rộng khả năng truy cập nội bộ

Tại sao cần Exit Node?

1. Bảo vệ traffic trên WiFi công cộng

Khi kết nối WiFi tại quán cà phê, sân bay hoặc khách sạn, traffic của bạn có thể bị theo dõi. Exit Node mã hóa toàn bộ traffic, đảm bảo an toàn.

2. Sử dụng IP từ vị trí khác

Nếu VPS của bạn đặt tại Việt Nam, thiết bị sẽ có IP Việt Nam khi dùng Exit Node. Hữu ích khi cần truy cập nội dung bị giới hạn địa lý.

3. Không phụ thuộc VPN thương mại

Thay vì trả tiền cho các dịch vụ VPN thương mại, bạn có toàn quyền kiểm soát VPN server của mình.

4. An toàn và riêng tư hơn

Không ai khác sử dụng chung Exit Node của bạn, không có logs từ bên thứ ba.

Yêu cầu cấu hình VPS

Để làm Exit Node hiệu quả, VPS cần:

Yêu cầu	Khuyến nghị
CPU	1 vCPU trở lên
RAM	512MB trở lên
Băng thông	Không giới hạn hoặc ít nhất 1TB/tháng
Hệ điều hành	Linux (Ubuntu, Debian, CentOS)
Tailscale	Đã cài đặt và kết nối

Gợi ý: Pro SSD VPS với gói Pro SSD VPS 1 từ 99.000đ/tháng là lựa chọn phù hợp cho Exit Node với băng thông không giới hạn.

Thiết lập Exit Node trên VPS

Bước 1: Bật IP Forwarding

Exit Node cần khả năng chuyển tiếp packet giữa các interface. Chạy các lệnh sau trên VPS:

# Bật IPv4 forwarding
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
# Bật IPv6 forwarding (nếu cần)
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
# Áp dụng thay đổi
sudo sysctl -p /etc/sysctl.d/99-tailscale.conf

Kiểm tra IP forwarding đã bật:

cat /proc/sys/net/ipv4/ip_forward
# Kết quả: 1

Bước 2: Quảng bá VPS làm Exit Node

Thông báo cho Tailscale rằng VPS này sẽ làm Exit Node:

sudo tailscale up --advertise-exit-node

Nếu bạn muốn giữ nguyên các cấu hình khác (như hostname), sử dụng set thay vì up:

sudo tailscale set --advertise-exit-node

Bước 3: Phê duyệt trong Admin Console

Việc advertise Exit Node chưa đủ – bạn cần phê duyệt trên Tailscale Admin Console:

1. Truy cập Tailscale Admin Console
2. Tìm VPS trong danh sách machines
3. Click vào menu “…” bên phải
4. Chọn Edit route settings
5. Bật switch Use as exit node
6. Click Save

Lưu ý: Nếu bạn cấu hình ACLs, có thể tự động approve bằng cách thêm autoApprovers.

Bước 4: Tối ưu hiệu suất (Tùy chọn)

Với Linux kernel 6.2+ và Tailscale 1.54+, bạn có thể tối ưu throughput UDP:

# Lấy tên interface chính
NETDEV=$(ip -o route get 8.8.8.8 | cut -f 5 -d " ")
# Bật tối ưu hóa
sudo ethtool -K $NETDEV rx-udp-gro-forwarding on rx-gro-list off

Để áp dụng vĩnh viễn, thêm vào /etc/rc.local hoặc tạo systemd service.

Sử dụng Exit Node từ thiết bị client

Trên Linux

# Bật Exit Node
sudo tailscale up --exit-node=<hostname-or-ip>
# Ví dụ:
sudo tailscale up --exit-node=vps-exit
# Hoặc dùng IP Tailscale:
sudo tailscale up --exit-node=100.64.0.1

Tắt Exit Node:

sudo tailscale up --exit-node=

Trên macOS

1. Click vào icon Tailscale trên menu bar
2. Hover qua Exit Node
3. Chọn VPS của bạn từ danh sách

Trên Windows

1. Click vào icon Tailscale trong system tray
2. Chọn Exit Node
3. Chọn VPS từ danh sách

Trên iOS/Android

1. Mở ứng dụng Tailscale
2. Tap vào Exit Node
3. Chọn VPS từ danh sách

Kiểm tra Exit Node hoạt động

Cách 1: Kiểm tra IP public

Trước khi bật Exit Node:

curl ifconfig.me
# Kết quả: IP nhà mạng của bạn

Sau khi bật Exit Node:

curl ifconfig.me
# Kết quả: IP của VPS Exit Node

Cách 2: Kiểm tra route

tailscale status

Output sẽ hiển thị Exit Node đang sử dụng.

Cách 3: Kiểm tra bằng website

Truy cập whatismyip.com và xác nhận IP hiển thị là IP của VPS.

Tối ưu hiệu suất Exit Node

1. Chọn vị trí VPS phù hợp

Đặt VPS gần vị trí bạn sử dụng:

• VPS Việt Nam cho người dùng trong nước
• VPS Singapore/Hong Kong cho độ trễ thấp nhất từ Việt Nam

2. Đảm bảo băng thông đủ

Exit Node sẽ sử dụng băng thông tương đương với traffic Internet của bạn. Chọn VPS với băng thông không giới hạn hoặc đủ cho nhu cầu.

3. Kiểm tra MTU

Traffic qua Tailscale có MTU 1420 (thay vì 1500). Trong hầu hết trường hợp, điều này không gây vấn đề. Nếu gặp lỗi với một số website:

# Kiểm tra MTU của Tailscale interface
ip link show tailscale0

4. Monitoring

Theo dõi băng thông trên VPS:

# Cài đặt vnstat
sudo apt install vnstat -y
# Xem thống kê
vnstat -d

Các vấn đề thường gặp

Exit Node không xuất hiện trong danh sách

Nguyên nhân: Chưa advertise hoặc chưa approve

Giải pháp:

1. Kiểm tra đã chạy tailscale up --advertise-exit-node
2. Kiểm tra đã approve trong Admin Console

IP không đổi sau khi bật Exit Node

Nguyên nhân: DNS leak hoặc client chưa kết nối đúng

Giải pháp:

# Trên client, kiểm tra exit node đã được chọn
tailscale status
# Thử restart Tailscale
sudo tailscale down
sudo tailscale up --exit-node=<vps-name>

Tốc độ chậm khi dùng Exit Node

Nguyên nhân: Kết nối relay thay vì direct

Giải pháp:

# Kiểm tra loại kết nối
tailscale ping <exit-node>
# Output "direct" là tốt, "relay" sẽ chậm hơn

Nếu đang relay, kiểm tra firewall và CG-NAT.

WebRTC leak

Một số trình duyệt có thể leak IP thực qua WebRTC.

Giải pháp:

• Firefox: about:config → media.peerconnection.enabled = false
• Chrome: Cài extension như “WebRTC Leak Prevent”

Lưu ý bảo mật

1. Cấu hình SSH trên exit node bảo mật với Tailscale
2. Exit Node nên là VPS bạn tin tưởng: Mọi traffic sẽ đi qua đây
3. Cập nhật hệ điều hành thường xuyên: Đảm bảo VPS được patch đầy đủ
4. Không chia sẻ tailnet với người không tin tưởng: Họ có thể thấy Exit Node của bạn
5. Xem xét sử dụng ACLs: Giới hạn ai có thể sử dụng Exit Node

Kết luận

Tailscale Exit Node là cách đơn giản và hiệu quả để tự xây dựng VPN server cá nhân. Với VPS AZDIGI và Tailscale, bạn có thể:

• Bảo vệ traffic khi dùng WiFi công cộng
• Sử dụng IP Việt Nam từ nước ngoài
• Kiểm soát hoàn toàn dữ liệu của mình

Bắt đầu ngay: Nếu bạn chưa có VPS, đăng ký Cloud Server AZDIGI để thiết lập Exit Node ngay hôm nay. Cấu hình X-Platinum từ 79.000đ/tháng là lựa chọn lý tưởng với băng thông không giới hạn.